Het door het Verenigd Koninkrijk voorgestelde verbod op het betalen van losgeld aan hackers kan storingen verlengen die doorwerken in toeleveringsketens, waarschuwt het Amerikaanse cyberbeveiligingsbedrijf Blue Goat Cyber.De Britse regering kondigde in juli aan dat zij overheidsinstanties en bedrijven met kritieke nationale infrastructuur wil verbieden om losgeld te betalen, om zo de financiële prikkel voor cyberaanvallen weg te nemen, maar volgens het cyberbeveiligingsbedrijf kan dit plan ‘een averechts effect’ hebben.
“Het aanpakken van losgeldbetalingen is een principiële en strategische stap. Het wegnemen van de winstmotieven moet deel uitmaken van elke langetermijnoplossing. Maar beleid alleen zal aanvallen niet van de ene op de andere dag stoppen. De realiteit is dat ransomware langdurige bedrijfsonderbrekingen veroorzaakt: herstel duurt vaak weken of maanden, waarbij diensten en banen in gevaar komen.”
Eerdere aanvallen waarbij systemen binnen de NHS en lokale besturen werden versleuteld, veroorzaakten wekenlange verstoringen, en het onvermogen om losgeld te betalen zou kunnen leiden tot langere uitval en cashflowproblemen voor andere bedrijven in de toeleveringsketen, aldus Blue Goat Cyber.De meest recente aanval op een groot Brits merk, Jaguar Land Rover, heeft de productie van zijn voertuigen een maand lang stilgelegd, waarbij de systemen eind vorige week weer online begonnen te komen. De regering kwam dit weekend tussenbeide en garandeerde een lening van £ 1,5 miljard om ervoor te zorgen dat Jaguar Land Rover zijn achterstallige facturen aan leveranciers kan betalen, die na een maand van verstoring met insolventie worden geconfronteerd.
Eerder dit jaar sloot retailer Marks and Spencer na een cyberaanval zijn website acht weken lang voor online bestellingen, en pas 15 weken na de aanval waren alle diensten weer volledig hersteld. Warenhuis Harrods maakte in het weekend bekend dat een aanval op een van zijn leveranciers de gegevens van een aantal klanten heeft blootgelegd, en volgt op een directe aanval op zijn eigen systemen in mei.Volgens de voorstellen van de Britse regering zouden particuliere bedrijven de autoriteiten op de hoogte moeten stellen als ze van plan zijn losgeld te betalen aan hackers. Noch M&S, noch Jaguar Land Rover heeft bekendgemaakt of ze aan de losgeld eisen hebben voldaan.“Besturen moeten eerlijk zijn over hun cyberverzekering en hun paraatheid om te herstellen”, aldus Christian Espinosa, cyberbeveiligingsexpert bij Blue Goat Cyber. “Uiteindelijk zijn veerkracht en paraatheid de enige duurzame verdedigingsmiddelen tegen een steeds innovatievere dreiging.”
Blue Goat Cyber waarschuwt verder dat een verbod op het betalen van losgeld “tegenstanders zal dwingen zich aan te passen, en dat die aanpassing pijnlijk kan zijn voor slachtoffers die geen noodplannen hebben”. Organisaties moeten ervan uitgaan dat aanvallen zich zullen richten op gegevensdiefstal, aldus het bedrijf, dat waarschuwt dat cyberaanvallers zich ook meer kunnen gaan richten op particuliere bedrijven die nog steeds in staat zijn om losgeld te betalen, of op externe leveranciers, om zo grotere doelwitten te bereiken.
“De directe prioriteiten voor Britse organisaties zijn duidelijk: versterk de verdediging, test de respons op incidenten en zorg voor een geloofwaardig herstelplan dat niet afhankelijk is van losgeldbetalingen”, adviseert Blue Goat Cyber. Het benadrukt dat bedrijven scenario’s moeten doorrekenen op basis van het niet kunnen betalen van losgeld en moeten meten hoe snel kritieke systemen kunnen worden hersteld. Het zei ook dat organisaties hun kritieke leveranciers moeten identificeren en ervoor moeten zorgen dat ze voldoen aan minimale cyberhygiënenormen.
Het voorgestelde Britse verbod op losgeld is een “beleid met hoge inzet”, aldus Blue Goat Cyber. “Het is een bot instrument dat sommige aanvallen kan afschrikken, maar het zal tegenstanders ook dwingen tot innovatie, en dat betekent dat organisaties nu hun veerkrachtmaatregelen moeten versnellen. Wetgevers, verzekeraars en de industrie moeten nauw samenwerken om ervoor te zorgen dat het beleid de schade vermindert in plaats van deze alleen maar te verplaatsen.”
Het bedrijf adviseertde bedrijven om na te gaan of hun cyberverzekering onder het voorgestelde nieuwe regime ook losgeldonderhandelingen, bedrijfsonderbrekingsschades en inbreukkosten dekt.
